Otaknet's Blog

Instalasi eBox Platform 1.2

dolphinnet — Thu, 20 Aug 2009 21:32:55 +0000

eBox Platform adalah sebuah jaringan server yang menawarkan kemudahan dan efisiensi untuk administrasi jaringan komputer SMBs. eBox Platform juga Dapat berfungsi sebagai Gateway, sebuah Infrastruktur Manager, Unified Threat Manager, Office Server, Unified Communication Server atau kombinasi dari yang tersebut tadi. eBox Platform mempunyai fungsi terpadu, mampu menjalankan banyak tugas, menghindari kesalahan dan menghemat waktu untuk administrator sistem.

Bubuk dulu ah,.,.,

Konfigurasi DNS Server dan Web Server dengan Linux CentOS

dolphinnet — Thu, 20 Aug 2009 21:05:37 +0000

1. Login dengan user root.
2. Masuk kedalam folder /etc/

[root@centos ~]#cd /etc/

3. Edit file named.conf yang ada didalam folder tersebut :

[root@centos etc]#vi named.conf

4. Tambahkan skrip berikut ini pada baris sebelum sintaks include “/etc/rndc.key”;

zone “otaknet.com” IN {
type master;
file “otaknet.zone”;
allow-update { none; };
};
zone “2.18.182.n-addr.arpa” IN {
type master;
file “otaknet.rev”;
allow-update { none; };
};

Setelah anda tulis kedua zone diatas, kemudian simpan dan keluar dengan mengetikkan :wq

5. Berpindah ke folder /var/named/chroot/var/named/

[root@centos etc]#cd /var/named/chroot/var/named
[root@centos named]#

6. Salin file localdomain.zone menjadi otaknet.zone, dan named.local menjadi otaknet.rev

[root@centos named]#cp localdomain.zone otaknet.zone
[root@centos named]#cp named.local otaknet.rev

7. Edit file depanbelakang.zone menjadi berikut ini :

[root@centos named]#vi otaknet.zone

8. Sesuaikan dengan konfigurasi berikut ini :

$TTL 86400
@ IN SOA ns.otaknet.com root.otaknet.com (
2008011500 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS ns.otaknet.com
ns IN A 182.18.2.1
www IN CNAME ns

ketika sudah selesai mengetikkan skrip diatas, kemudian simpan dan keluar dengan menggunakan :wq

9. Edit file depanbelakang.res:

[root@centos named]#vi otaknet.rev

10. Sesuaikan dengan konfigurasi berikut ini :

$TTL 86400
@ IN SOA ns.otaknet.com. root.otaknet.com. (
2008011500 ; serial (d. adams)
28800 ; refresh
14400 ; retry
3600000 ; expiry
86400 ) ; minimum
IN NS ns.otaknet.com.
1 IN PTR ns.otaknet.com.

ketika sudah selesai mengetikkan skrip diatas, kemudian simpan dan keluar dengan menggunakan :wq

11. Edit file resolv.conf yang ada didalam folder /etc/

[root@centos named]#cd /etc/
[root@centos etc]#vi resolv.conf

12. Sesuaikan dengan konfigurasi berikut ini :

nameserver 182.18.2.1
nameserver 192.168.1.1
nameserver 202.134.0.155
search ns.otaknet.com

ketika sudah selesai mengetikkan skrip diatas, kemudian simpan dan keluar dengan menggunakan :wq

13. Jalankan server DNS dengan mengetikkan perintah :

[root@centos etc]#/etc/init.d/named start
Starting named : [ OK ]

Jika OK maka menandakan bahwa settingan DNS Server anda telah sukses dan siap dipergunakan. “Yakin udah jadi boss….”. ups… ada yang kelawatan nich… test dulu ya…..”

14. Tes apakah benar-benar sudah jadi. Dengan mengetikkan perintah berikut ini :

[root@centos etc]# dig ns.otaknet.com

Jika nanti hasilnya pada ANSWER = 1 maka sukses. Dapat dikatakan jika hasil ANSWER >=1 maka sukses.
Coba lagi :

[root@centos etc]# dig www.otaknet.com

15. Kalau sudah, setting client anda dengan konfigurasi berikut ini dengan mengganti DNS-nya

DNS 1 : 182.18.2.1
DNS 2 : 192.168.1.1

16. Cek dengan perintah nslookup melalui console dos pada client:

C:\> nslookup www.otaknet.com
C:\> ping www.otaknet.com

Langkah dibawah ini dilaksanakan jika konfigurasi DNS Server telah sukses dan berjalan lancar.

Inget ya…. Jangan dipaksakan… tapi harus bisa berjalan dengan baik ..

17. Jika sudah jadi, maka tetapkan service dns untuk berjalan secara otomatis ketika proses booting.

[root@centos etc]# chkconfig –level 345 named on

18. Sekian dulu belajarnya….. dan kalau untuk web server ketikkan berikut ini

[root@centos etc]#/etc/init.d/httpd start
[root@centos etc]# chkconfig –-level 345 httpd on

19. Cek dengan web browser di client ada dengan mengetikkan alaman http://www.otaknet.com

Sumber : http://piqri.wordpress.com/

Setting Router dengan CentOS berbasis RedHat

dolphinnet — Thu, 20 Aug 2009 20:41:48 +0000

Pembuatan PC Linux sangatlah mudah dengan beberapa sintaks saja sudah dapat berjalan dengan semestinya. Pada tutorial ini PC Router hanya menggunakan 2 ethernet yang berfungsi untuk koneksi dengan internet menggunakan eth0 dan eth1 digunakan untuk koneksi dengan LAN. Dengan asumsi bahwa PC telah terinstall system operasi Linux Centos.
Kumpulkan data-data untuk membuat server. Data-data berikut ini akan digunakan sampai terakhir dalam tutorial ini.

1. Data IP Address eth0

IP Address    192.168.1.128
Subnetmask    255.255.255.0
Gateway        192.168.1.1
DNS 1        192.168.1.1
DNS 2        202.134.0.155

2. Data IP Address eth1

IP Address    182.18.2.1
Subnetmask    255.255.255.0
Gateway        192.168.1.1
DNS 1        192.168.1.1
DNS 2        202.134.0.155

Setelah anda mendapatkan data tersebut segera kita dapat melakukan konfigurasi pada PC Router yang dikehendaki sesuai dengan data yang ada.

1. Login dengan user root
2. Masuk ke dalam folder /etc/sysconfig/network-script/

[root@centos ~]#cd /etc/sysconfig/network-script/
[root@centos network-script]#
3.Selanjutnya edit file konfigurasi untuk eth0 yaitu file ifcfg-eth0
[root@centos network-script]#vi ifcfg-eth0
Kemudian isikan dengan skrip berikut ini :
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.1.255
IPADDR=192.168.1.128
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
TYPE=Ethernet

Setelah anda tulis, kemudian simpan dan keluar dengan menggunakan :wq
Selanjutnya edit file konfigurasi eth1 yaitu fule ifcfg-eth1

[root@centos network-script]#vi ifcfg-eth1

Kemudian isikan dengan skrip berikut ini :

DEVICE=eth1
BOOTPROTO=static
BROADCAST=188.18.8.255
IPADDR=188.18.8.1
NETMASK=255.255.255.0
NETWORK=188.18.8.0
ONBOOT=yes
TYPE=Ethernet

Setelah anda tulis, kemudian simpan dan keluar dengan menggunakan :wq

4. Edit file konfigurasi default gateway yang ada pada folder /etc/syconfig

[root@centos network-script]#cd /etc/sysconfig
[root@centos sysconfig]#vi network

Kemudian isikan dengan skrip berikut ini

NETWORKING=yes
HOSTNAME=localhost.localdomain
GATEWAY=192.168.1.1

Setelah anda tulis, kemudian simpan dan keluar dengan menggunakan :wq

5. Edit file resolv.conf yang digunakan untuk menyimpan data dns

[root@centos network-script]#cd /etc/
[root@centos etc]#vi resolv.conf

Kemudian isikan dengan skrip berikut ini

nameserver 192.168.1.1
nameserver 202.134.0.155

Setelah anda tulis, kemudian simpan dan keluar dengan menggunakan :wq

6. Coba anda restart network anda.

[root@centos etc]#/etc/init.d/network restart

7. Cek IP yang sudah terinstall pada Ethernet

[root@centos etc]#ifconfig
eth0 Link encap:Ethernet HWaddr 00:30:18:A4:E0:6F
inet addr:192.168.1.128 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::230:18ff:fea4:e06f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:81548 errors:0 dropped:0 overruns:0 frame:0
TX packets:74945 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:68397087 (65.2 MiB) TX bytes:8293763 (7.9 MiB)
Interrupt:201 Base address:0×6000
eth1 Link encap:Ethernet HWaddr 00:E0:4D:48:B6:06
inet addr:188.18.8.1 Bcast:188.18.8.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4dff:fe48:b606/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:521469 errors:0 dropped:0 overruns:0 frame:0
TX packets:572347 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:411351695 (392.2 MiB) TX bytes:517878843 (493.8 MiB)
Interrupt:169 Base address:0xfc00

Cocokkan dengan data yang ada apakah sama atau tidak.

8. Cek default gateway

[root@centos etc]#route –n
Kernel IP routing table
Destination Gateway Genmask         Flags Metric Ref    Use Iface
188.18.8.0 0.0.0.0 255.255.255.0   U     0      0        0 eth1
192.168.1.0 0.0.0.0 255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

Jika seperti diatas maka routing telah diarahkan ke default gateway

9. Cek dengan koneksi dengan perintah ping

[root@centos etc]#ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=0 ttl=255 time=0.925 ms
64 bytes from 192.168.1.1: icmp_seq=1 ttl=255 time=0.588 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=255 time=0.603 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=255 time=0.569 ms
[root@centos etc]#ping www.telkom.net
PING www.telkom.net (203.130.196.201) 56(84) bytes of data.
64 bytes from 203.130.196.201: icmp_seq=0 ttl=55 time=52.2 ms
64 bytes from 203.130.196.201: icmp_seq=1 ttl=55 time=108 ms
64 bytes from 203.130.196.201: icmp_seq=2 ttl=55 time=50.7 ms

Berarti server kita sudah terkoneksi dengan internet.

10. Edit file rc.local untuk menjalankan perintah ketika system linux dibooting. Disini akan dituliskan skrip-skrip masquerading yang berarti memperbolehkan client untuk mengakses internet

[root@centos etc]#vi /etc/rc.d/rc.local

Isikan dengan skrip seperti dibawah ini.

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don’t
# want to do the full Sys V style init stuff.
#touch /var/lock/subsys/local
INTERNET=”eth0″
LAN_IN=”eth1″
SQUID_PORT=”3128″
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i $INTERNET -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables –table nat –append POSTROUTING –out-interface $INTERNET -j MASQUERADE
iptables –append FORWARD –in-interface $LAN_IN -j ACCEPT
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

simpan dan keluar dengan menggunakan :wq dan restart router.

11. Setting client dengan menggunakan IP yang satu kelas dengan eth1, misalkan

IP Address       : 182.18.2.2
Subnet mask    : 255.255.255.0
Gateway            : 182.18.2.1
DNS 1                  : 192.168.1.1
DNS 2                 : 202.134.0.155

12.Tes koneksi dari client dengan melakukan ping

a.    Ping ke gateway 182.18.2.1
b.    Ping ke eth0, 192.168.1.128
c.    Ping ke default gateway router 192.168.1.1
d.    Ping ke DNS 1 dan DNS 2

- Jika ping (a) dan (b) tidak sukses maka kemungkinan kesalahan pada seting ip address client dan kabel.
- Jika ping (c) tidak sukses maka kesalahan pada masquerading-nya, cek table routing dan file rc.local
- Jika ping (d) terutama pada DNS2 tidak sukses maka kemungkinan jaringan internet mungkin sedang dalam keadaan down.

13. Jika sukses dalam ping, coba gunakan browsing ke suatu website, misalkan ww.google.com

Sumber : http://piqri.wordpress.com/

Install Apache2,PHP and MySQL

dolphinnet — Tue, 18 Aug 2009 21:23:31 +0000

Hello every one today i’ll discuss how to compile Apache2,PHP and MySQL form source in linux.
First download the source form the sits.
Now first apache2
1.gunzip filename.tar.gz
2.tar -xvf filename.tar
Now change directory to that apache source folder.
We have to configure it now.
./configure –enable-so
make
make install

now start the apache server
/usr/local/apache/bin/apachectl start
Just open a browser and type localhost/ if it shows it works ! then its working.
Now MySQL
follow the 1 & 2 steps and configure it with
./configure –prefix=/usr/local/mysql
make
make install
Now time for PHP
Again we have to configure
./configure –with-apxs2=/usr/local/apache/bin/apxs –with-mysql=/usr/local/mysql
make
make install

Note : Use apxs if u use Apache

Sumber : http://ranacse05.wordpress.com/

Configuring Apache-2.2.8 with PHP-5.2.5 and Mysql-5.0.45

dolphinnet — Tue, 18 Aug 2009 21:20:50 +0000

This How-To guides you through the steps to install and configure the most popular and powerful Apache-2.2.8 web server with PHP-5.2.5 and Mysql-5.0.45.

This How-To can be used either on Linux with Kernel version 2.4 and higher or on FreeBSD-6.x systems.

From wikipedia, the definition of a web server is as follows:

A computer program that is responsible for accepting HTTP requests from clients, which are known as web browsers (e.g. Firefox, Internet Explorer), and serving them HTTP responses along with optional data contents, which usually are web pages such as HTML documents and linked objects (images, etc.).
Without Web servers, the Internet would just be as dull as sending and receiving emails.

It is the web server which provides the content and information that we are used to seeing these days. It’s the web server’s job to deliver both static and dynamic contents to end-users via browsers such as Mozilla Firefox and Internet Explorer.

Apache is to web servers what Bind is to DNS servers. Apache is a high performance and scalable web server notable for playing a key role in the initial growth of the World Wide Web. According to the data provided by news.netcraft.com, 50% of all web sites are running on Apache web servers.

In this guide, we will install and configure a simple Apache-2.2.8 web server with PHP-5.2.4 and Mysql-5.0.45.

MySQL is a robust Relational Database Management System (RDBMS) that relies on Structured Query Language (SQL) for processing the data in the database.

MySQL is most commonly used for Web applications and for embedded applications and has become a popular alternative to proprietary database systems such as Oracle and Sybase because of its speed and reliability.

PHP is a reflective programming language originally designed for producing dynamic web pages.PHP is used mainly in server-side scripting, but can be used from a command line interface or in standalone graphical applications.

PHP generally runs on a web server, taking PHP code as its input and creating Web pages as output.

The following guide details the installation and configuration of this 3 powerful components.

Installing Mysql-5.0.45

(1.) Create the necessary mysql user and mysql group

groupadd mysql
useradd -g mysql mysql

(2.) Download Mysql
cd /usr/local/src

wget http://dev.mysql.com/get/Downloads/MySQL-5.0/mysql-5.0.45.tar.gz/from/http://mirror.trouble-free.net/mysql_mirror/

(3.) Unzip the sources

tar zxvf mysql-5.0.45.tar.gz

(4.) Got to source directory and run configure

cd mysql-5.0.45

./configure –prefix=/usr/local/mysql

(5.) Make and Install

make

make install

(6.) Copy the main my.cnf file and change the necessary permissions and run Mysql

cp support-files/my-medium.cnf /etc/my.cnf

cd /usr/local/mysql

chown -R mysql .

chgrp -R mysql .

bin/mysql_install_db –user=mysql

chown -R root .

chown -R mysql var
bin/mysqld_safe –user=mysql &
If all goes well, Mysql is now installed and should be running!!

Note: If you face problems such as getting configuration and compilation errors, check your permissions. 95% of all problems can be solved either by installing dependencies and development libraries. Google is your friend as always.

Installing and configuring Apache-2.2.8

(1.) Download Apache

cd /usr/local/src

wget http://veritris.com/mirrors/apache/httpd/httpd-2.2.8.tar.gz

(2.) unzip the sources

tar zxvf httpd-2.2.8.tar.gz

(3.) Configure Apache

cd httpd-2.2.8

./configure

–prefix=/usr/local/httpd \
–enable-cache \
–enable-disk-cache \
–enable-mem-cache \
–enable-proxy \
–enable-proxy-http \
–enable-proxy-ftp \
–enable-proxy-connect \
–enable-so \
–enable-cgi \
–enable-info \
–enable-rewrite \
–enable-speling \
–enable-usertrack \
–enable-deflate \
–enable-mime-magic

(4.) Make and Install

make

make install

That’s it. Apache should now be installed in /usr/local/httpd ! Note: If you face problems such as getting compilation errors, check your permissions. 95% of all problems can be solved either by installing dependencies and development libraries. Google is your friend as always.

Installing and Configuring PHP

(1.) Download PHP

cd /usr/local/src

wget http://www.php.net/get/php-5.2.5.tar.gz/from/au2.php.net/mirror

(2.) Unzip the sources

tar zxvf php-5.2.5.tar.gz

(3.) Configure PHP for Apache and Mysql support

./configure

–with-apxs2=/usr/local/httpd/bin/apxs \
–with-mysql=/usr/local/mysql \
–prefix=/usr/local/httpd/php \
–with-config-file-path=/usr/local/httpd/php \
–enable-force-cgi-redirect \
–disable-cgi \
–with-zlib \
–with-gettext \
–with-gdbm

(4.) Make and Install

make

make install

(5.) Configure PHP configuration

cp php.ini-dist /usr/local/lib/php.ini

(6.) Edit your httpd.conf to load the PHP module

vi /usr/local/httpd/conf/httpd.conf

#Added the following in the relevant section

LoadModule php5_module modules/libphp5.so
(7.) Tell Apache to parse certain extensions as PHP and also to parse .phtml and phps extensions

vi /usr/local/httpd/conf/httpd.conf

#Added the following in the relevant sections

AddType application/x-httpd-php .php .phtml

AddType application/x-httpd-php-source .phps

(8.) Start your Apache-2.2.6 server

/usr/local/httpd/bin/apachectl start

Testing PHP installation

(1.) Create the following info.php file in the default htdocs directory

vi /usr/local/httpd/htdocs/info.php

##Copy and paste the following text

phpinfo();
?>

(2.) Save the file and start your web browser to point to your local web server. If this server is a remote server, simply enter it’s IP address in place of localhost

http://localhost/info.php

You should be able to see detailed information about your PHP installation, Apache environment and PHP extensions loaded, etc.

You should see something like the following:

Apache-PHP-Mysql-Installation

info.php showing the versions of Apache, PHP, Mysql installed.

Well that’s it. Now you have a brand new working installation of Apache-2.2.6 with PHP-5.2.4 and Mysql-5.0.45.

It’s up to you to decide what you want to do with this powerful combination and configuration. Only the sky is the limits!

Happy Web serving !!!!

Sumber : http://teklimbu.wordpress.com/

Securing your Linux gateway box with IPTABLES

dolphinnet — Tue, 18 Aug 2009 21:05:04 +0000

This How-To provides the details for securing a Linux gateway box with the IPTABLES firewall. This guide can be used for Kernels ranging from 2.4-2.6. Special rules for running Squid in transparent mode and providing Network Address Translation (NAT) are also covered in this guide.

The tool IPTABLES talks to the kernel and tells it what packets to filter.

The IPTABLES application operates at a high level by filtering TCP and UDP protocols before the data is passed onto the user applications that can be corrupted.

The IPTABLES tool inserts and deletes rules from the kernel’s packet filtering table.

What this means is that the rules you create in your Linux machine using IPTABLES are lost upon reboot.

The best way to use IPTABLES rules are to store them up in a simple shell script and use your Linux OS to load that script on boot up.

IPTABLES uses the concept of tables. It has 3 tables known as Filter, NAT and Mangle tables. Most of the rules in this guide uses the Filter table to maintain it’s rules though we will also introduce the basic rules for NAT table. The NAT table is needed to Network Address Translation which can be used for internet connection sharing, etc.

The Filter table in turn has 3 chains called INPUT, OUTPUT and FORWARD.

Their simple definition are as follows:

INPUT Chain: If a packet comes to your Linux machine either from your local network or from the Internet itself, that packet passes through the INPUT chain.

OUTPUT Chain: Any packet originating from a program such as Squid, Apache, Bind, etc on your Linux machine itself has to pass through the OUTPUT chain.

FORWARD Chain: If IP forwarding is enabled on your Linux machine, this Linux machine can act as a router or gateway between 2 or more networks. When we say 2 networks, it can mean that the 1st network is your LAN and 2nd network can be the Internet. In order for your machines on your LAN to travel to the 2nd network and vice versa, the packet has to pass through the FORWARD chain.

Note: This guide follows the guidelines and ideas given by Oskar Andreasson. I would like to thank him for his wonderful and amazing IPTABLES guide which can be found at:

http://iptables-tutorial.frozentux.net/iptables-tutorial.html

I request everybody new to IPTABLES to read this guide. Oskar Andreasson should be given an award for his works!

Keeping that in mind, let us create a simple but effective IPTABLES firewall rules in a file called rc.firewall. The firewall can be used for Linux boxes with at least 2 network interfaces. Our firewall will have 3 network interfaces.

This firewall is just a guide and introduction to IPTABLES. Please use it at your own risks. I will not be responsible for any side-effects!

(1.) Go to a general location such as /etc

cd /etc

(2.) Use the Vi editor and create a file called rc.firewall

vi rc.firewall

(2.) Copy and paste the following in your rc.firewall script

#!/bin/sh

# Firewall for Linux Box created by Tek Limbu
### tekbdrlimbu@hotmail.com ###
###Date: 07-Oct-2007

LOGGING=1

LO_IF=”lo”
LO_IF_IP=”127.0.0.1?

#Define your eth0, eth1 and eth2 interfaces
#Eth0 = Internet Network
#Eth1 = Local Area Network
#Eth2 = Wireless Network

OUT_IF=eth0
INT_IF1=eth1
INT_IF2=eth2

#Extract your interfaces’ IP
OUT_IF_IP=”`/sbin/ifconfig $OUT_IF | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $1}’`”
INT_IF_IP1=”`/sbin/ifconfig $INT_IF1 | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $1}’`”
INT_IF_IP2=”`/sbin/ifconfig $INT_IF2 | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $1}’`”
OUT_IF_MASK=”`/sbin/ifconfig $OUT_IF | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $3}’`”
INT_IF_MASK1=”`/sbin/ifconfig $INT_IF1 | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $3}’`”
INT_IF_MASK2=”`/sbin/ifconfig $INT_IF2 | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $3}’`”

#Extract your interfaces netmask

OUT_IF_NET=$OUT_IF_IP/$OUT_IF_MASK
INT_IF_NET1=$INT_IF_IP1/$INT_IF_MASK1
INT_IF_NET2=$INT_IF_IP2/$INT_IF_MASK2

#Extract your Broadcast mask

OUT_IF_BROADCAST=”`/sbin/ifconfig $OUT_IF | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $2}’`”
INT_IF_BROADCAST1=”`/sbin/ifconfig $INT_IF1 | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $2}’`”
INT_IF_BROADCAST2=”`/sbin/ifconfig $INT_IF2 | grep ‘inet[^6]‘ | sed ’s/[a-zA-Z:]//g’ | awk ‘{print $2}’`”

#Define your local and server network and ports
#You may need to change the IPs to your own IP addresses

PROXY=”192.168.0.1?
PROXY_NET=”192.168.0.0/29?
LOCAL_NET=”192.168.0.0/24?
EXTERNAL_NET=”172.16.0.0/24?
SYSTEM_NET=”10.0.0.0/24?
MY_IP=”192.168.0.100?
SSH=”12345?
NTP_SERVER=”10.0.0.5?
IPTABLES=”/sbin/iptables”

echo “Starting Firewalling ……..”

# Flush everything
$IPTABLES -F

# Set default policies to DROP

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

echo starting firewall
# Set necessary values for /proc
echo “1? >/proc/sys/net/ipv4/ip_forward

if [ -e /proc/sys/net/ipv4/tcp_syncookies ]
then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# dont respond to broadcasts (dont get smurfed)
echo “1? > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#Load Necessary Modules at runtime
/sbin/depmod -a

# Flush everything

# flush all the rules in the filter and nat tables.

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

# erase all chains that’s not default in filter and nat table.

$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#Define your own chains

$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

# bad_tcp_packets chain

$IPTABLES -A bad_tcp_packets -p tcp –tcp-flags SYN,ACK SYN,ACK \
-m state –state NEW -j REJECT –reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! –syn -m state –state NEW -j LOG \
–log-prefix “New not syn:”
$IPTABLES -A bad_tcp_packets -p tcp ! –syn -m state –state NEW -j DROP
$IPTABLES -A bad_tcp_packets -p tcp -m state –state INVALID -j LOG –log-prefix “Invalid packet:”
$IPTABLES -A bad_tcp_packets -p tcp -m state –state INVALID -j DROP

$IPTABLES -A allowed -p TCP –syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# TCP rules

###Web Server
$IPTABLES -A tcp_packets -p TCP -s $LOCAL_NET –dport 80 -j allowed

##Only if you want the World to access your Web server
$IPTABLES -A tcp_packets -p TCP -s 0.0.0.0/0.0.0.0 –dport 80 -j allowed

$IPTABLES -A tcp_packets -p TCP -s $EXTERNAL_NET –dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $SYSTEM_NET –dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $OUT_IF_NET –dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET1 –dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET2 –dport 80 -j allowed

###Mail SMTP Server
$IPTABLES -A tcp_packets -p TCP -s $LOCAL_NET –dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $SYSTEM_NET –dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $EXTERNAL_NET –dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $OUT_IF_NET –dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET1 –dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET2 –dport 25 -j allowed

#Only needed if your Mail Server has a vaild MX and Reverse DNS entries
$IPTABLES -A tcp_packets -p TCP -s 0.0.0.0/0.0.0.0 –dport 25 -j allowed

###Courier-Pass
$IPTABLES -A tcp_packets -p TCP -s localhost –dport 106 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $LOCAL_NET –dport 106 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $EXTERNAL_NET –dport 106 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $SYSTEM_NET –dport 106 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $OUT_IF_NET –dport 106 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET1 –dport 106 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET2 –dport 106 -j allowed

###IMAP
$IPTABLES -A tcp_packets -p TCP -s localhost –dport 143 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $LOCAL_NET –dport 143 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $EXTERNAL_NET –dport 143 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $SYSTEM_NET –dport 143 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $OUT_IF_NET –dport 143 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET1 –dport 143 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET2 –dport 143 -j allowed

###Allow SSH to this machine

$IPTABLES -A tcp_packets -p TCP -s $LOCAL_NET –dport $SSH -j allowed
$IPTABLES -A tcp_packets -p TCP -s $EXTERNAL_NET –dport $SSH -j allowed
$IPTABLES -A tcp_packets -p TCP -s $SYSTEM_NET –dport $SSH -j allowed
$IPTABLES -A tcp_packets -p TCP -s $MY_IP –dport $SSH -j allowed
$IPTABLES -A tcp_packets -p TCP -s $PROXY_NET –dport $SSH -j allowed

###Allow TCP connections to Squid. Only needed if you are running a Squid cache.
$IPTABLES -A tcp_packets -p TCP -s $LOCAL_NET –dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $EXTERNAL_NET –dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $SYSTEM_NET –dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $OUT_IF_NET –dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET1 –dport 3128 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $INT_IF_NET2 –dport 3128 -j allowed

#Allow DNS queries. Only needed if you are running a local DNS server.

$IPTABLES -A udp_packets -p UDP -s $LOCAL_NET –destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s $EXTERNAL_NET –destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s $SYSTEM_NET –destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s $OUT_IF_NET –destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s $INT_IF_NET1 –destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s $INT_IF_NET2 –destination-port 53 -j ACCEPT

#Allow NTP update
$IPTABLES -A udp_packets -p UDP -s $NTP_SERVER –destination-port 123 -j ACCEPT

#ICP Queries from Proxy Network. Needed only if you have proxy peers.
$IPTABLES -A udp_packets -p UDP -s $PROXY_NET –destination-port 3130 -j ACCEPT

#Drop Microsoft Networks’ Broadcasts
$IPTABLES -A udp_packets -p UDP -i $OUT_IF -d $OUT_IF_BROADCAST –destination-port 135:139 -j DROP
$IPTABLES -A udp_packets -p UDP -s $INT_IF_NET1 -d $INT_IF_BROADCAST1 –destination-port 135:139 -j DROP
$IPTABLES -A udp_packets -p UDP -s $INT_IF_NET2 -d $INT_IF_BROADCAST2 –destination-port 135:139 -j DROP

#Drop DHCP requests from the Outside of our network
$IPTABLES -A udp_packets -p UDP -i $OUT_IF -d $OUT_IF_BROADCAST –destination-port 67:68 -j DROP
$IPTABLES -A udp_packets -p UDP -s $INT_IF_NET1 -d $INT_IF_BROADCAST1 –destination-port 135:139 -j DROP
$IPTABLES -A udp_packets -p UDP -s $INT_IF_NET2 -d $INT_IF_BROADCAST2 –destination-port 135:139 -j DROP

# ICMP rules

$IPTABLES -A icmp_packets -p ICMP -s $LOCAL_NET –icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $LOCAL_NET –icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $LOCAL_NET –icmp-type 5 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $LOCAL_NET –icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $LOCAL_NET –icmp-type 11 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s $EXTERNAL_NET –icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $EXTERNAL_NET –icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $EXTERNAL_NET –icmp-type 5 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $EXTERNAL_NET –icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $EXTERNAL_NET –icmp-type 11 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s $SYSTEM_NET –icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $SYSTEM_NET –icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $SYSTEM_NET –icmp-type 5 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $SYSTEM_NET –icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $SYSTEM_NET –icmp-type 11 -j ACCEPT

$IPTABLES -A icmp_packets -p ICMP -s $PROXY_NET –icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $PROXY_NET –icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $PROXY_NET –icmp-type 5 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $PROXY_NET –icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s $PROXY_NET –icmp-type 11 -j ACCEPT

## INPUT chain

#Drop Bad Packets
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $INT_IF1 -s $INT_IF_NET1 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INT_IF1 -s $OUT_IF_NET -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $OUT_IF -s $OUT_IF_NET -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INT_IF2 -s $INT_IF_NET2 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INT_IF2 -s $OUT_IF_NET -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IF -s $LO_IF_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IF -s $INT_IF_IP1 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IF -s $INT_IF_IP2 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IF -s $OUT_IF_IP -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $OUT_IF_IP -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INT_IF_IP1 -m state –state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INT_IF_IP2 -m state –state ESTABLISHED,RELATED -j ACCEPT

#Forword all TCP packets to tcp_packets chain
$IPTABLES -A INPUT -p TCP -i $OUT_IF -j tcp_packets
$IPTABLES -A INPUT -p TCP -s $OUT_IF_NET -j tcp_packets
$IPTABLES -A INPUT -p TCP -s $INT_IF_NET1 -j tcp_packets
$IPTABLES -A INPUT -p TCP -s $INT_IF_NET2 -j tcp_packets

#Forward all UDP packets to udp_packets chain
$IPTABLES -A INPUT -p UDP -i $OUT_IF -j udp_packets
$IPTABLES -A INPUT -p UDP -s $OUT_IF_NET -j udp_packets
$IPTABLES -A INPUT -p UDP -s $INT_IF_NET1 -j udp_packets
$IPTABLES -A INPUT -p UDP -s $INT_IF_NET2 -j udp_packets

#Forward all ICMP packets to icmp_packets chain
$IPTABLES -A INPUT -p ICMP -i $OUT_IF -j icmp_packets
$IPTABLES -A INPUT -p ICMP -s $INT_IF_NET1 -j icmp_packets
$IPTABLES -A INPUT -p ICMP -s $INT_IF_NET2 -j icmp_packets

#Drop Multicasts from Microsoft Networks
$IPTABLES -A INPUT -i $OUT_IF -d 224.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i $INT_IF1 -d 224.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i $INT_IF2 -d 224.0.0.0/8 -j DROP
#$IPTABLES -A INPUT -i $OUT_IF1 -d 224.0.0.0/8 -j DROP
#$IPTABLES -A INPUT -i $OUT_IF2 -d 224.0.0.0/8 -j DROP

#Log weird packets that don’t match the above.
$IPTABLES -A INPUT -m limit –limit 3/minute –limit-burst 3 -j LOG \
–log-level DEBUG –log-prefix “IPT INPUT packet died: “

# FORWARD chain

# Bad TCP packets we don’t want
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# Accept the packets we actually want to forward

$IPTABLES -A FORWARD -i $INT_IF1 -j ACCEPT
$IPTABLES -A FORWARD -i $INT_IF2 -j ACCEPT
$IPTABLES -A FORWARD -i $OUT_IF -j ACCEPT

$IPTABLES -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT

# Log weird packets that don’t match the above.
$IPTABLES -A FORWARD -m limit –limit 3/minute –limit-burst 3 -j LOG \
–log-level DEBUG –log-prefix “IPT FORWARD packet died: “

#OUTPUT chain

#Bad TCP packets we don’t want.
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

# Special OUTPUT rules to decide which IP’s to allow.

$IPTABLES -A OUTPUT -p ALL -s $LO_IF_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INT_IF_IP1 -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INT_IF_IP2 -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $OUT_IF_IP -j ACCEPT

# Log weird packets that don’t match the above.
$IPTABLES -A OUTPUT -m limit –limit 3/minute –limit-burst 3 -j LOG \
–log-level DEBUG –log-prefix “IPT OUTPUT packet died: “

# NAT table

# Enable simple IP Forwarding and Network Address Translation for interfaces eth1 and #eth2

$IPTABLES -t nat -A POSTROUTING -o $OUT_IF -s $INT_IF_NET1 -j SNAT –to-source $OUT_IF_IP
$IPTABLES -t nat -A POSTROUTING -o $OUT_IF -s $INT_IF_NET2 -j SNAT –to-source $OUT_IF_IP

#For Squid Transproxy
$IPTABLES -t nat -A PREROUTING -i $INT_IF1 -p tcp –dport 80 -j REDIRECT –to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INT_IF2 -p tcp –dport 80 -j REDIRECT –to-ports 3128

echo “Firewalling Established ! ……”

Sumber : http://teklimbu.wordpress.com/

Enterprise Bind 9.4.2 Caching nameserver

dolphinnet — Tue, 18 Aug 2009 20:58:04 +0000

Bind is the de-facto DNS server used in almost all kinds of environment all over the world.
This article is a How-To for creating a local caching name server for your network to resolve DNS hostnames faster and also to conserve your precious bandwidth.

The Domain Name System (DNS) is the crucial glue that keeps computer networks in harmony by converting human-friendly hostnames to the numerical IP addresses computers require to communicate with each other. DNS is one of the largest and most important distributed databases the world depends on by serving billions of DNS requests daily for public IP addresses. Most public DNS servers today are run by larger ISPs and commercial companies but private DNS servers can also be useful for private home networks.

Without DNS, most of the Internet comprising WWW, Email, etc will simply fail to work!
This How-To can to be used for running bind as a fast caching name server from a small network to a large corporate environment.

A caching only name server will find the answer to name queries and remember the answer the next time you need it. You can configure a caching name server to query the ROOT servers directly or use it to forward to your ISP name servers to build a very big and effective cache.

This will shorten the waiting time the next time significantly, especially if you’re on a slow connection.

Having said that, this guide can be used for both Linux based and BSD based operating systems.

As of today (17-Dec-2007), the latest stable version of Bind is 9.4.2

(1.) Create the bind UserID and Group

groupadd bind
useradd -g bind bind

(2.) Download the latest copy of Bind

mkdir -p /usr/local/src

cd /usr/local/src

wget http://ftp.isc.org/isc/bind9/9.4.2/bind-9.4.2.tar.gz

(3.) Unzip the source file

tar zxvf bind-9.4.2.tar.gz

(4.) cd bind-9.4.2

(5.) Compile bind with the following parameters:

./configure –prefix=/usr \
–sysconfdir=/etc/namedb \
–mandir=/usr/share/man \
–localstatedir=/var

(6.) make

(7.) make install

If all goes well, bind is installed and we can go to the configuration part!

(8.) create the necessary directories and files

mkdir -p /var/run/named/
touch /var/run/named/pid

mkdir -p /var/dump
touch /var/dump/named_dump.db

mkdir -p /var/stats
touch /var/stats/named.stats

mkdir -p /var/log/named/
touch /var/log/named/queries.log

chown -R bind:bind /etc/namedb
chown -R bind:bind /var/log/named
chown -R bind:bind /var/run/named
chown -R bind:bind /var/dump
chown -R bind:bind /var/stats

(9.) Generate your usable rndc.conf file using rndc-confgen with the key name “dnssecret”

with a key size of 256 bits.

rndc-confgen -a -c /etc/namedb/rndc.conf -k dnssecret -b 256

(10.) cd /etc/namedb

(11.) vi named.conf

Copy and paste the following configuration:

############# Start of /etc/namedb/named.conf ################

acl local {
127.0.0.1;
192.168.0.0/24;
172.16.0.0/24;
10.0.0.0/24;
};

options {
directory “/etc/namedb”;
pid-file “/var/run/named/pid”;
dump-file “/var/dump/named_dump.db”;
statistics-file “/var/stats/named.stats”;

listen-on { 127.0.0.1;};
listen-on { 192.168.0.1; };
listen-on { 172.16.0.1; };
listen-on { 10.0.0.1; };

#The following forwarders will only be needed if you want your cache to forward DNS #requests

to your ISP DNS servers.

forwarders {
IP.OF.ISP.DNSSERVER1;
IP.OF.ISP.DNSSERVER2;
};

query-source address * port 53;
};

key “dnssecret” {
algorithm hmac-md5;
secret “Copy and paste your dnssecret key generated by rndc-confgen”;
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { “dnssecret”; };

};

zone “.” {
type hint;
file “named.root”;
};

##We need to log the dns queries of our clients

/*
options {
statistics-file “named-stats.log”;
}
*/

logging {
channel queries_log {
file “/var/log/named/queries.log” versions 5 size 50m ;
print-severity yes;
print-time yes;
};
category queries { queries_log ; };
};

############## End of /etc/namedb/named.conf #################

(12.) Next the named.root file listing the root name servers.

dig > /etc/namedb/named.root

(13.) Add the localhost entry in /etc/resolv.conf

vi /etc/reslov.conf

search example.com
nameserver 127.0.0.1
nameserver 192.168.0.1
nameserver 172.16.0.1
nameserver 10.0.0.1

(14.) Run your newly configured Bind caching name server

/usr/sbin/named -u bind -c /etc/namedb/named.conf

(15.) Check for any syntax mistakes and possible errors in /var/log/messages and run a few

dns tests.

dig cnn.com
dig isc.org
dig mit.edu
dig squid-cache.org
dig freebsd.org

(16.) If all the hostnames resolves into IP addresses, you should see the entries in your

queries.log

tail -f /var/log/named/queries.log

You should see something like the following queries:

05-Oct-2007 13:31:35.457 info: client 127.0.0.1#51604: query: cnn.com IN A +
05-Oct-2007 13:31:40.337 info: client 127.0.0.1#56894: query: isc.org IN A +
05-Oct-2007 13:31:44.657 info: client 127.0.0.1#52537: query: mit.edu IN A +
05-Oct-2007 13:31:50.959 info: client 127.0.0.1#51148: query: squid-cache.org IN A +
05-Oct-2007 13:31:56.153 info: client 127.0.0.1#65424: query: freebsd.org IN A +

sumber : http://teklimbu.wordpress.com/

Enterprise FreeBSD/Linux Squid Proxy Server

dolphinnet — Tue, 18 Aug 2009 20:53:48 +0000

Squid is the most popular high end web proxy used by both by small or big organizations and ISPs around the world. It improves web browsing performance and conserves bandwidth. It also has a very rich Access Control Lists (ACLs) which can be configured to act as superb filter and can also act as a firewall.

The Squid project, currently, is now being run entirely by volunteers. It has a small but very talented and professional group of developers. I request everybody using Squid to help this great project in their own respective ways. You can either participate directly in it’s development, or be a tester of it’s latest releases or you can simply submit articles.

Or best of all, if you have the resources, please donate to this great and wonderful project. Whatever you donate, no matter how much, will go towards it’s development and R&D which will benefit everybody and the internet community at large.

Please check the following URL for more details:

http://www.squid-cache.org/Intro/helping.dyn

This installation manual is for Squid-2.6.STABLE18 which is the latest as of today (23-Jan-2008). This How-To can be used either on Linux based Operating systems such as Debian and BSD based operating systems such as FreeBSD. For Solaris users, replace “make” with “gmake” and make sure that “/usr/sfw/bin” is in your PATH.

This guide below details the steps for creating a powerful Squid proxy server capable of serving thousands of users per second. Please refer to the graphs towards the end of this article for actual details.

Assumptions:

2 cache partitions /cache1 and /cache2 of size 20 GB each are created with OS installation
User squid and Group squid are created on OS
Incoming TCP connections are allowed on Port 3128
Local Bind caching name server is installed on OS
This How-To describes how to run a squid transparent proxy server in FreeBSD-6.x/Linux based operating systems in an enterprise/ISP environment serving thousands of users.

(1.) Download squid in /usr/local/src

cd /usr/local/src
wget http://www.squid-cache.org/Versions/v2/2.6/squid-2.6.STABLE18.tar.gz

(2.) Unzip it’s contents

tar zxvf squid-2.6.STABLE18.tar.gz

(3.) Configure squid with the following parameters

–bindir=/usr/local/sbin \
–sysconfdir=/usr/local/etc/squid \
–datadir=/usr/local/etc/squid \
–libexecdir=/usr/local/libexec/squid \
–localstatedir=/usr/local/squid \
–enable-removal-policies=heap,lru \
–enable-storeio=diskd,aufs,coss,ufs,null \
–enable-time-hack \
–enable-snmp \
–with-large-files \
–enable-large-cache-files \
–prefix=/usr/local \
–disable-ident-lookups \
–enable-cache-digests \
–enable-underscores \
–enable-kill-parent-hack \
–enable-follow-x-forwarded-for

(4.) If all goes well, run

make all
make install

(5.) We need to tune squid.conf to suit our preferences

cd /usr/local/etc/squid
mv squid.conf squid.default.conf

(6.) Use the following squid.conf

############## Start of squid.conf ###########

cache_effective_user squid
cache_effective_group squid

#hosts_file /etc/hosts

#Only if you have other proxies running and want to use them as sibling peers
#Uncomment them
#cache_peer proxy1.example.com sibling 3128 3130 proxy-only
#cache_peer proxy2.example.com sibling 3128 3130 proxy-only
#cache_peer proxy6.example.com sibling 3128 3130 proxy-only

#Remove 127.0.0.1 if you don’t have a local caching name server
dns_nameservers 127.0.0.1 IP.OF.ISP.DNSSERVER

#debug_options ALL,1 33,2 28,9

acl all src 0.0.0.0/0.0.0.0

#offline_mode off

icp_query_timeout 1000

high_memory_warning 500 MB

#If you have 2 or more different links, use them for load-balancing
#tcp_outgoing_address IP.Address.2nd.Router

visible_hostname proxy.example.com

httpd_suppress_version_string on

cache_mem 64 MB

#cache_replacement_policy heap LFUDA
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF

cache_swap_low 90
cache_swap_high 95

maximum_object_size 131072 KB

########New test — Default is 8
maximum_object_size_in_memory 64 KB

#minimum_object_size 1 KB
#store_avg_object_size 20 KB

tcp_recv_bufsize 65535 bytes

ipcache_size 8192

fqdncache_size 8192

##If this proxy is also your gateway and if you want to block MSN messenger
##Uncomment the ACLs below

#acl msn-type req_mime_type -i ^application/x-msn-messenger$
#acl msn-type req_mime_type -i ^application/x-msnmsgrp2p
#http_access deny msn-type

#acl msnmessenger url_regex -i gateway.dll
#http_access deny msnmessenger
#acl msn req_mime_type -i ^application/x-msn-messenger
#http_access deny all msn

acl msnmess url_regex http://207.46.111.55/gateway/gateway.dll?
deny_info TCP_RESET msnmess
http_access deny msnmess

#forwarded_for on
#request_header_max_size 24 KB
#negative_dns_ttl 1 minutes
#positive_dns_ttl 1 hours
#negative_dns_ttl 60 seconds
#connect_timeout 60 seconds
#request_timeout 60 seconds
#pconn_timeout 30 seconds
high_page_fault_warning 10
high_response_time_warning 2000
client_persistent_connections off
server_persistent_connections on
half_closed_clients off

#If you need the high performace COSS storage scheme
#cache_dir coss /cache1/squid/coss 9216 max-size=131072 max-stripe-waste=16384 block-size=1024
#cache_dir coss /cache2/squid/coss 9216 max-size=131072 max-stripe-waste=16384 block-size=1024

#Diskd storage scehme
cache_dir diskd /cache1 6144 16 256 Q1=72 Q2=64
cache_dir diskd /cache2 6144 16 256 Q1=72 Q2=64

#Used for COSS only
#cache_swap_log /var/squid/%s

log_icp_queries off
cache_store_log none
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log

emulate_httpd_log on

acl spammers dstdomain .maxonlinejob.com .max-online.biz .maxjob.info
deny_info TCP_RESET spammers
http_access deny spammers

ftp_user ftpuser@example.com
cache_mgr squidadmin@example.com

#Block some comme Microsoft bugs
acl msnbug url_regex http://msgr.dlservice.microsoft.com/download/1/A/4/1A4FEB1A-18E0-423A-B898-F697402E4F7F/I nstall_Messenger.exe
deny_info TCP_RESET msnbug
http_access deny msnbug

acl msnbug2 url_regex http://msgr.dlservice.microsoft.com/download/4/b/c/4bc83bb2-18dd-486f-943f-332a9b3e01dc/Install_MSN_Messenger_DL.exe
deny_info TCP_RESET msnbug2
http_access deny msnbug2

#No cache for the following sites
acl newssites dstdomain .cnn.com .bbcnews.com
no_cache deny newssites

refresh_pattern windowsupdate.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern update.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe) 4320 100% 43200 reload-into-ims

#Try to cache some google Earth stuff
acl QUERY urlpath_regex cgi-bin \? intranet
acl forcecache url_regex -i kh.google keyhole.com
no_cache allow forcecache
no_cache deny QUERY

#Don’t cache dynamic content
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

refresh_pattern -i kh.google 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload
refresh_pattern -i keyhole.com 1440 20% 10080 override-expire override-lastmod reload-into-ims ignore-reload

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

#Only if you want your Squid box to cache aggressively, not recommended

#refresh_pattern -i \.gif$ 600 50% 10080
#refresh_pattern -i \.jpe?g$ 600 50% 10080
#refresh_pattern -i \.tif?f$ 600 50% 10080
#refresh_pattern -i \.png$ 600 50% 10080
#refresh_pattern -i \.mov$ 600 50% 10080
#refresh_pattern -i \.qt$ 600 50% 10080
#refresh_pattern -i \.avi$ 600 50% 10080
#refresh_pattern -i \.mpe?g$ 600 50% 10080
#refresh_pattern -i \.wav$ 600 50% 10080
#refresh_pattern -i \.au$ 600 50% 10080
#refresh_pattern -i \.aif?f$ 600 50% 10080
#refresh_pattern -i \.ps$ 360 30% 10080
#refresh_pattern -i \.pdf$ 360 30% 10080
#refresh_pattern -i \.gz$ 360 30% 10080
#refresh_pattern -i \.Z$ 360 30% 10080
#refresh_pattern -i \.zip$ 360 30% 10080
#refresh_pattern . 180 50% 10180

#Configure downloading even after aborted requests.
quick_abort_min 0 KB
quick_abort_max 0 KB
#quick_abort_pct 99

negative_dns_ttl 2 minutes

acl mynetwork src 192.168.0.0/24 172.16.0.0/24 10.0.0.0/24

acl nimda urlpath_regex .*/winnt/system32/cmd.exe.* .*/MSADC/root.exe..c.dir$ .*/scripts/root.exe..c.dir$
acl Newvirus urlpath_regex .*/Cgi-bin/!Vip.exe.* .*/LE/isapitest.dll.*
acl BadURL urlpath_regex -i cmd.exe
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 2082 2083 2086 2087 2093 2095 2096
acl Safe_ports port 80 21 443 563 70 210 8000 11999 2082 2083 2086 2087 2095 2096 8082 8090
acl CONNECT method CONNECT
acl worm dst 63.251.5.47 65.74.168.210
acl worm1 dstdomain kyamzaa.virtualave.net/com.exe
acl worm2 dstdomain kyamazza.virtualave.net/dos.exe

acl VIRUS urlpath_regex winnt/system32/cmd.exe?
acl VIRUS urlpath_regex ^/osa..gif
acl VIRUS urlpath_regex ^/./fils.php
acl VIRUS urlpath_regex ^/./999.jpg
acl VIRUS urlpath_regex ^/w.php
acl YAHOOATTACK urlpath_regex akamai.*yahoo.*config/login
acl INADDR_ANY dst 0.0.0.0/32
acl IpAddrProbeUA browser ^Mozilla/4.0.$compatible;.MSIE.5.5;.Windows.98$$
acl IpAddrProbeURL url_regex //[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/$

acl codered url_regex \/default\.ida$
http_access deny codered

acl gator_url url_regex \.gator.com
acl gator_domain_start dstdomain gator.com
http_access deny gator_url
http_access deny gator_domain_start

acl brazvir url_regex http://www.instituto.com.br/attackDoS.php
http_access deny brazvir

acl worm_url url_regex ^http://www.tradeexit.com/link1.html$
acl worm_url url_regex ^http://www.tradeexit.com/link2.html$
acl worm_url url_regex ^http://www.revistaprofashional.com.br/put?
acl worm_url url_regex ^http://www.putassp.com/put?
http_access deny worm_url

#Block uncessary microsoft updates
acl microsoft_url_1 urlpath_regex msdownload/update/v3-19990518/cabpool
http_access deny microsoft_url_1

###################
##virus
#acl mblock url_regex -i musicindiaonline.com

acl dangurl urlpath_regex -i \.id[aq]\?.{100,} # CodeRED
acl dangurl urlpath_regex -i /readme\.(eml|nws|exe) # NIMDA

#Remove transparent if you don’t want Squid to run transparently
http_port 3128 transparent

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny BadURL
http_access deny nimda
http_access deny Newvirus
deny_info TCP_RESET worm
http_access deny worm
http_access deny worm1
http_access deny worm2
http_access deny Codered
http_access allow mynetwork

http_access deny IpAddrProbeUA IpAddrProbeURL
deny_info TCP_RESET IpAddrProbeURL
acl OriginsThatComplainOfAbuse dstdomain .fencing101.com
http_access deny OriginsThatComplainOfAbuse
deny_info TCP_RESET OriginsThatComplainOfAbuse
acl soedirman dstdomain soedirman.gudangupload.com
http_access deny soedirman
http_access deny VIRUS
http_access deny YAHOOATTACK
http_access deny INADDR_ANY

acl PURGE method PURGE
http_access allow PURGE localhost
http_access deny PURGE

deny_info TCP_RESET all
http_access deny all

snmp_port 3001
acl queryme snmp_community SquidSnmpSecret

acl adminpc src 192.168.0.34/255.255.255.255
acl researchpc src 192.168.0.70/255.255.255.255
acl squidadminpc src 192.168.0.221/255.255.255.255
acl mgmtpc src 192.168.0.221/255.255.255.255

snmp_access allow queryme localhost
snmp_access allow queryme adminpc
snmp_access allow queryme researchpc
snmp_access allow queryme squidadminpc
snmp_access allow queryme mgmtpc
snmp_access deny all

icp_access allow mynetwork
icp_access deny all

miss_access allow all

append_domain .example.com

#Always direct allow to yahoo.com and hotmail.com
acl yahoo dstdomain login.yahoo.com
acl yahoo dstdomain mail.yahoo.com
acl hotmail dstdomain hotmail.com
always_direct allow yahoo
always_direct allow hotmail

ie_refresh on
######## End of squid.conf ###############

(6.) Initialize cache directories

/usr/local/sbin/squid -z

(7.) Run Squid Daemon

/usr/local/sbin/squid -D

(8.) Manually put the newly configured proxy server in your web browser and test web browsing.

If all goes well, Happy Squid Proxying !!!!!

As stated in the beginning, this proxy which you have just built is extremely powerful capable of serving thousands of users per second. To illustrate this, the graphs below are provided as a reference.

Sumber : http://teklimbu.wordpress.com/

Dasar dan cara kerja squid

dolphinnet — Tue, 18 Aug 2009 01:03:47 +0000

Salah satu contoh aplikasi proxy/cache server adalah Squid. Squid dikenal sebagai aplikasi proxy dan cache server yang handal. Pada pihak klien bekerja aplikasi browser yang meminta request http pada port 80. Browser ini setelah dikonfigurasi akan meminta content, yang selanjutnya disebut object, kepada cache server, dengan nomor port yang telah disesuaikan dengan milik server, nomor yang dipakai bukan port 80 melainkan port 8080 3130 (kebanyakan cache server menggunakan port itu sebagai standarnya).

Pada saat browser mengirimkan header permintaan, sinyal http request dikirimkan ke server. Header tersebut diterima squid dan dibaca. Dari hasil pembacaan, squid akan memparsing URL yang dibutuhkan, lali URL ini dicocokkan dengan database cache yang ada.

Database ini berupa kumpulan metadata (semacam header) dari object yang sudah ada didalam hardisk. Jika ada, object akan dikirimkan ke klien dan tercatat dalam logging bahwa klien telah mendapatkan object yang diminta. Dalam log kejadian tersebut akan dicatat sebagai TCP_HIT. Sebaliknya, jika object yang diminta ternyata tidak ada, squid akan mencarinya dari peer atau langsung ke server tujuan. Setelah mendapatkan objectnya, squid akan menyimpan object tersebut ke dalam hardisk. Selama dalam proses download object ini dinamakan “object in transit” yang sementara akan menghuni ruang memori. Dalam masa download tadi, object mulai dikirimkan ke klien dan setelah selesai, kejadian ini tercatat dalam log sebagai TCP_MISS.

ICP sebagai protokol cache berperan dalam menanyakan ketersediaan object dalam cache. Dalam sebuah jaringan sebuah cache yang mempunyai sibling, akan mencoba mencari yang dibutuhkan ke peer sibling lainnya, bukan kepada parent, cache akan mengirimkan sinyal icp kepada sibling dan sibling membalasnya dengan informasi ketersediaan ada atau tidak. Bila ada, cache akan mencatatkan ICP_HIT dalam lognya. Setelah kepastian object bias diambil dari sibling, lalu cache akan mengirimkan sinyal http ke sibling untuk mengambil object yang dimaksud. Dan setelah mendapatkannya, cache akan mencatat log SIBLING_HIT.

Jika ternyata sibling tidak menyediakan object yang dicari, cache akan memintanya kepada parent. Sebagai parent, ia wajib mencarikan object yang diminta tersebut walaupun ia sendiri tidak memilikinya (TCP_MISS). Setelah object didapatkan dari server origin, object akan dikirimkan ke cache child tadi, setelah mendapatkannya cache child akan mencatatnya sebagai PARENT_HIT.

II.1 Konfigurasi, penggunaan dan metode Squid

Konfigurasi-konfigurasi mendasar squid antara lain :

1. http_port nomor port.
Ini akan menunjukkan nomor port yang akan dipakai untuk menjalankan squid. Nomor port ini akan dipakai untuk berhubungan dengan klien dan peer.

2. icp_port nomor port.
Ini akan menunjukkan nomor port yang akan dipakai untuk menjalankan squid. Nomor port ini akan dipakai untuk berhubungan dengan klien dan peer.

3. cache_peer nama_peer tipe_peer nomor_port_http nomor_port_icp option.
Sintask dari cache peer ini digunakan untuk berhubungan dengan peer lain, dan peer lain yang dikoneksikan ini tipenya bergantung dari tipe peer yang telah dideklarasikan ini, bias bertipe sibling maupun bertipe parent,dan port yang digunakan untuk hubungan ICP maupun HTTP juga dideklarasikan disini, sedangakan untuk parameter option disini ada bermacam-macam salah satunya adalah default yang berarti dia adalah satu-satunya parent yang harus dihubungi (jika bertipe parent) dan proxy-only yang berarti bahwa object yang dipata dari peer tersebut tidak perlu disimpan dalam hardisk local.

4. Dead_peer_timeout jumlah_detik seconds.
Masing-masing peer yang telah didefinisikan sebelumnya mempunyai waktu timeout sebesar yang ditentukan dalam konfigurasi ini, Jika peer tidak menjawab kiriman sinyal ICP dalam batas waktu yang telah ditentukan, peer akan dianggap tidak akan dapat dijangkau, dan cache server tidak akan mengambil object dari server yang bersangkutan dalam interval waktu tertentu.

5. Hierarcy_stoplist pola1 pola2
Sintaks ini digunakan untuk menyatakan apa yang harus tidak diminta dari peer, melainkan harus langsung dari web server origin, jika pola1 dan pola 2 adalah parameter cgi-bin, ?, dan lain-lain maka jika ada request URL yang mengandung karakter tersebut maka akan diambilkan langsung ke server origin.

6. Cache_mem jumlah_memori (dalam bytes)
Sintaks ini akan menentukan batas atas jumlah memori yang digunakan untuk menyimpan antara lain : intransit object yaitu object yang dalam masa transisi antara waktu cache mendownload sampai object disampaikan ke klien, dan hot object, yaitu object yang sering diakses.

7. Cache_swap_low/high jumlah (dalam persen)
Squid akan menghapus object yang ada didalam hardisknya jika media tersebut mulai penuh. Ukuran penuh ini yang diset pada cache_swap_low dan cache_swap_high. Bila batas swap_low telah tercapai maka squid mulai menghapus dan jika batas swap_high tercapai maka squid akan semakin sering menghapus.

8. Cache_dir jenis_file_sistem direktori kapasitas_cache dir_1 jumlah dir_2
Sintaks ini akan menjelaskan direktori cache yang dipakai, pertama adalah jenis file sistemnya, lalu didirektori mana cache tersebut akan disimpan, selanjutnya ukuran cache tersebut dalam MegaBytes lalu jumlah direktori level 1 dan direktori level 2 yang akan digunakan squid untuk menyimpan objectnya.

II.1.1 ACL (Access Control List)

Berikut ini adalah control list yang akan digunakan untuk mengatur control dari ACL, control list tersebut antara lain :
- http_access
memperbolehkan acess http
- icp_access
memperbolehkan peer untuk mengirimkan icp untuk menquery object
- miss_access
memperbolehkan klien meminta object yang belum ada (miss) didalam cache
- no_cache
object yang diminta klien tidak perlu disimpan ke hardisk
- always_direct
permintaan yang ditangani langsung ke server origin
- never direct
permintaan yang ditangani secara tidak langsung ke server origin.

Sebagai contoh diberikan sintaks konfigurasi ACL seperti dibawah ini :

#bagian ACL
ACL localnet src 192.168.100.0/24
ACL localkomp 127.0.0.1/255.255.255.255
ACL isp dst 202.59.206.65/30
ACL allsrc src 0.0.0.0/0.0.0.0
ACL alldst dst 0.0.0.0/0
ACL other src 10.10.11.11/32
ACL domainku srcdomain .jatara.net

# bagian control list
http_access deny other
http_access allow localnet
http_access allow lokalkomp
http_access allow domainku
http_access deny allsrc
always_direct allow isp
always_direct deny alldst

Pada konsep sintaks konfigurasi squid adalah bahwa sesuatu yang telah dieksekusi pada baris yang lebih atas maka dia tidak dieksekusi lagi dibaris yang paling bawah, walaupun dalam parameter ACL yang dibawah tersebut dia juga termasuk, untuk lebih jelasnya, jika ada IP Address 192.168.100.0/24 maka IP Address yang berkisar dari 192.168.100.1 – 192.168.100.254 (ACL localnet) telah diijinkan untuk mengakses http yang ditunjukkan oleh http_access allow localnet, dan dibawahnya ada ACL allsrc yang itu adalah mencakup semua daftar IP Address dan ACL itu tidak diperbolehkan mengakses http, yaitu http_access_deny allsrc, tapi karena pada ACL localnet dia telah dieksekusi untuk sebagai IP Address yang boleh mengakses, maka walaupun dibaris bwahnya di dieksekusi lagi, itu tidak akan berpengaruh,hal-hal seperti itu digunakan untuk seorang administrator cache server untuk melakukan pengontrolan agar tidak akan terlalu detail melakukan pengaturan jika baris atas dan bawah sama-sama saling mempengaruhi.

II.1.2 Object Cache

Pengaturan object sebuah cache server merupakan salah satu hal yang perlu diperhatikan disini. Telah diketahui sebelumnya bahwa object disimpan pada dua level cache_dir yang besar levelnya didefinisikan pada konfigurasi utama squid. Object itu sendiri berisikan content URL yang diminta klien dan disimpan dalam bentuk file binary, masing-masing object mempunyai metadata yang sebagian dari isinya disimpan didalam memori untuk memudahkan melacak dimana letak object dan apa isi dari object tersebut. Banyak sifat-sifat yang perlu diamati untuk optimasi squid ini, antara lain :

Umur object
Umur obect merupakan sebuah ukuran waktu yang dihabiskan sebuah object untuk tinggal didalam hardisk cache. Umur object dibatasi oleh beberapa factor, yaitu :

Metode penghapusan object
object dihapus bisa melalui beberap algoritma penghapusan :

a. Logistic Regression :
yaitu menghapus object dengan kemungkinan logistic regression terkecil. Kemungkinan logistic regression bisa diartikan sebagai besarnya kemungkinan object tersebut akan diakses diwaktu yang akan dating.

b. Least Recently Used :
yaitu metode penghapusan object berdasarkan waktu kapan object tersebut terakhir diakses. Semakin lama (besar) waktunya, kemungkin dihapus juga akan semakin besar.

c. Least Frequently Used :
Metode penghapusan object yang paling jarang diakses.

d. First In First Out :
Penghapusan yang merunut metode berdasarkan waktu masuk ke dalam cache_dir, yaitu object yang paling awal masuk, berarti itu adalah object yang akan dihapus terlebih dahulu.

e. Random :
Menghapus object secara random.

Kapasitas hardisk cache
Semakin besar kapasitas cache, berarti semakin lama umur object tersebut bisa disimpan, jika pemakaian hardisk sudah mendekati batas atas (cache_swap_high) penghapusan akan semakin sering dilakukan.

II.2 KONFIGURASI DAN IMPLEMENTASI

Diasumsikan instalasi telah selesai dan tidak terdapat kesalahan, langkah berikutnya adalah mengatur konfigurasi squid, bukalah file /etc/squid.conf dengan editor teks favorit anda (vi, pico, dll), file ini merupakan file konfigurasi squid.

Carilah baris yang berisi perintah berikut :

# http_port 3128

Perintah ini akan membuat proxy HTTP menggunakan port 3128 yang merupakan port default untuk squid. Aktifkan dengan menghilangkan tanda #. Anda dapat membuat nilai port HTTP proxy ini sesuai dengan selera anda, tetapi jangan arahkan ke port 80, terutama jika anda juga menjalankan Web Server, karena Web Server juga memakai port tersebut.

#cache_mem 8 MB

Perintah tersebut digunakan untuk membatasi banyaknya memori komputer yang akan digunakan squid untuk menyimpan sementara obyek-obyek yang di cache. Batasan ini tidak ketat, suatu waktu jika squid membutuhkan memori lebih, dia dapat menggandakan memori yang dipakainya. Aktifkan baris ini dan ubahlah ukuran cache ini menjadi sebanyak yang anda inginkan, yang harus anda pertimbangkan adalah banyaknya memori yang dimiliki oleh komputer anda.
Kemudian:

# cache_access_log /var/log/squid/access.log
# cache_log /var/log/squid/cache.log
# cache_store_log /var/log/squid/store.log

Berikutnya, carilah baris yang berisi perintah berikut :

# LOGFILE PATHNAMES & CACHE DIRECTORIES

Setting berikut ini digunakan untuk mendefinisikan alokasi penyimpanan web cache kita. Setting yang pertama adalah :

#cache_dir /var/squid/cache 100 16 256

Nilai yang ada diatas adalah nilai default squid, jika anda ingin merubahnya maka aktifkan perintah ini.

Parameter pertama /var/squid/cache adalah nama direktori tempat kita akan menyimpan file-file cache. Anda dapat mengubah parameter ini ke direktori manapun, tetapi yang harus diperhatikan squid tidak akan menciptakan direktori baru, jadi bila parameter ini akan diubah, pastikan direktori tujuannya sudah ada dan squid mempunyai hak akses untukmenulis pada direktori tersebut.

Parameter selanjutnya, yang bernilai 100 adalah banyaknya ruang pada hard disk (dengan satuan Mega Byte) yang akan digunakan squid untuk menyimpan file-file cache nya. Ubahlah sesuai dengan kebutuhan anda.

Parameter selanjutnya, disebut dengan Level-1, adalah banyaknya direktori yang akan dibuat oleh squid dalam direktori cache nya. Sebaiknya penulis menyarankan untuk tidak mengubah parameter ini.

Parameter terakhir, yang disebut dengan Level-2, adalah banyaknya direktori level kedua, yaitu direktori yang dibuat di dalam tiap direktori level pertama diatas.

Langkah berikutnya, carilah perintah berikut :

# ACCESS CONTROLS

Baris perintah berikut ini digunakan untuk mendefinisikan daftar hak akses dalam jaringan anda, squid menyebutnya dengan Access Control Lists (ACL). Anda dapat mendefinisikan beberapa ACL disini. Dalam bagian access controls ini, carilah baris perintah berikut :

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

dibawah acl localhost src 127.0.0.1/255.255.255.255 tambahkan network yang akan di allowed

acl jar1 src 172.17.3.0/255.255.255.0

setelah itu supaya net1 dan net2 td bisa mengakses squid maka tambahkan

http_access allow

cari baris :

# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

diantara http_access allow localhost dan http_access deny all tambahkan :

http_access allow jar1

baris ini bisa diletakkan di atas http_access allow localhost atau dibawah http_access allow localhost yang penting diatas http_access deny all
setelah itu simpan. lalu start squid nya

[root@b301 ~]#squid –z ( hanya sekali pada saat pertama kali seting )
[root@b301 ~]#/etc/init.d/squid start ( setiap kali akan menjalankan squid )

setelah itu gunakan testing squidnya menggunakan browser sambil di lihat acess log nya

[root@b301 ~]#tail -f /home/cache/squid/access.log

Sumber : http://malang.linux.or.id/?p=9

Bind9 “query denied” & “Query (cache) denied”

dolphinnet — Tue, 18 Aug 2009 00:47:52 +0000

Pagi ini iseng2 aq mengamati /var/log/syslog, ternyata banyak sekali tulisan spt ini :

Jun 22 05:06:50 eleanor named[15975]: client 10.122.1.55#1027: query (cache) ‘time.windows.com/A/IN’ denied
Jun 22 05:55:08 eleanor named[3926]: client 10.122.1.55#1122: query (cache) ‘athena.its.ac.id/A/IN’ denied
Jun 22 06:04:45 eleanor named[4195]: client 127.0.0.1#39467: query ‘dynamic-ip-adsl-190.186.23.61.cotas.com.bo.ee.its.ac.id/A/IN’ denied
Jun 22 06:04:45 eleanor named[4195]: client 202.46.129.134#39467: query ‘dynamic-ip-adsl-190.186.23.61.cotas.com.bo.ee.its.ac.id/A/IN’ denied
Jun 22 06:07:44 eleanor named[4552]: client 10.122.1.55#1226: query (cache) ‘gmail.com/A/IN’ denied
Jun 22 06:11:05 eleanor named[4713]: client 74.6.17.154#52328: query ‘www.ee.its.ac.id/A/IN’ denied

Kecurigaan awal saya, ini adalah pesan error yg dihasilkan oleh DNS Server (bind9), mulailah aq googling tentang error tsb. Mbah google memberikan petunjuk yg sangat bagus, yaitu link ini, yang intinya saya pahami ini adalah masalah ACL (Access Control List) pada bind9, oleh karena itu saya tambahkan baris berikut ini :

file : /etc/bind/named.conf.local
acl “lokal” { 10.122.1.0/24; };
file : /etc/bind/named.conf.options
allow-query { “lokal”; };

Penjelasan konfigurasi tambahan diatas adalah bahwa alamat network yg diperbolehkan utk melakukan query ke DNS server kita adalah 10.122.1.0/24 (dengan label lokal).
Dan setelah aq tambahkan konfigurasi diatas, selesailah masalah yg ada.
Perhatikan contoh dibawah ini (koyo’ nang buku SMA ae)

file : /etc/bind/named.conf.local
acl “constantine” { 10.122.1.55/32; };
acl “lunar” { 10.122.1.214/32; };
file : /etc/bind/named.conf.options
allow-query { constantine; !lunar; };

dari contoh diatas, kira2 apa yang terjadi hayo….
Silakan tulis pendapatmu di tempat komentar

Sumber : http://lqman.wordpress.com/